提及“間諜”這個詞,大眾的印象往往都還停留在《偽裝者》、《碟中諜》等劇中塑造的形象上,認為間諜與自己相距甚遠,但卻不知,其實境外間諜針對我國的刀光劍影從未停止。11月22日,央視《焦點訪談》欄目就《中華人民共和國反間諜法實施細則》頒布一周年,制作了反間防諜主題節(jié)目《網(wǎng)上諜影》。沒有網(wǎng)絡安全,就沒有國家安全。隨著互聯(lián)網(wǎng)的廣泛應用,互聯(lián)網(wǎng)逐漸成為了境外間諜情報機關竊取我國家機密的重要渠道,危害我國家安全的事件時有發(fā)生。維護網(wǎng)絡安全和國家秘密安全,是各級涉密單位、涉密人員乃至全社會的共同責任。
國家關鍵信息泄露,看不見的網(wǎng)絡世界也刀光劍影
2018年以來,境外間諜情報機關對我國黨政機關、科研院所、軍工單位等實施了多輪次大規(guī)模的網(wǎng)絡攻擊竊密活動,造成我國境內數(shù)百臺計算機設備被攻擊控制,數(shù)十萬份文檔資料被竊取,涉及政治、經(jīng)濟、軍事、外交、科技等多個領域。在本期《網(wǎng)上諜影》中,講述了三起政企單位因為網(wǎng)絡安全問題泄露國家重要機密信息的案例。
針對焦點訪談提及的這三類政企單位信息安全泄露問題,筆者采訪了知道創(chuàng)宇政企產(chǎn)品線安全專家肖磊,針對政企單位如何避免信息泄露問題,以及如何構建政企單位自身的網(wǎng)絡安全防護體系做出了詳細解讀。
國家對網(wǎng)絡安全和信息安全保護方面有哪些政策和法規(guī)要求?
首先是等級保護制度,我國從1997年開始實行計算機信息系統(tǒng)等級保護制度,隨著網(wǎng)絡安全等級保護條例(征求意見稿)的發(fā)布,等級保護也進入了2.0時代,我們看到等級保護的內涵發(fā)生了較大的變化,變化體現(xiàn)在保護范圍、保護內容、建設的具體要求都有一定的變化,如保護范圍從計算機信息系統(tǒng)到信息系統(tǒng)再到網(wǎng)絡安全,其范圍是在不斷擴大的,隨之而來的是保護內容也出現(xiàn)了擴大。
其次,《網(wǎng)絡安全法》的頒布和實施,社會各界對網(wǎng)絡安全的重視程度有所提升。網(wǎng)絡安全也有法可依了,這算一個質的飛躍,政企事業(yè)單位只要有相關的網(wǎng)絡資產(chǎn)和業(yè)務承載系統(tǒng),都需要進行等級保護,且對網(wǎng)絡運營者的責任進行了界定,如果不遵守等級保護的要求,網(wǎng)絡運營者肯定會受到相應的處罰。如果政企事業(yè)單位的信息系統(tǒng)屬于關鍵信息基礎設施,那就需要在等級保護基礎上增強防護?!蛾P鍵信息基礎設施保護條例》(征求意見稿)是網(wǎng)絡安全法的延伸,針對影響國計民生的行業(yè),根據(jù)特定的業(yè)務需求,針對網(wǎng)絡和信息方面的保護也做了進一步的要求。
最后就是各行各業(yè)根據(jù)行業(yè)特點,在等保和《網(wǎng)絡安全法》的基礎上做了進一步細化,如電力行業(yè)2014年電信行業(yè)頒布了《關于電信行業(yè)的網(wǎng)絡安全和信息安全的管理辦法》,還有18年國家能源局也頒布了《加強電力行業(yè)網(wǎng)絡安全指導意見》。
此外,政企事業(yè)單位也有前瞻性、目標性的軟約束,如《國家十三五信息安全規(guī)劃》就對安全立法做了相應的規(guī)劃,未來將出臺《個人信息保護法》,《未成年保護條例》,以及《密碼法》等相應的法律,一旦這些法律條文出臺,政企就需要針對相應的安全風險采取相應的防護手段。
除了政策和法規(guī)之外,國家也在相應的技術層面推動網(wǎng)絡安全和信息保護,比如說最近的IP v6的規(guī)模部署和這個行動計劃,因為IPv6是強制要求進行加密,它相比IP4更安全,尤其對政府和大型的商業(yè)網(wǎng)站和應用,要求強制性的上IP v6,在今年年底要求完成,這也是一個強制性的合規(guī)性要求。
隨著互聯(lián)網(wǎng)的發(fā)展和應用,目前國內的政企單位安全意識和安全能力水平如何?
國內的政企在安全意識和安全能力上是有較大的提升的,可以從三個方面看,一個是剛才提到的政策推動,就是不管愿意不愿意,等保要求你必須執(zhí)行。這個是頂層設計的要求,并且如果你不符合相關要求,比如說網(wǎng)絡安全每年的公安檢查,如果檢查到信息系統(tǒng)不符合安全要求,或者是一旦出現(xiàn)網(wǎng)絡安全事件你沒有進行相應的等保建設,那么不管是公司還是網(wǎng)絡安全負責人都會受到相應的懲罰,尤其是政府單位,這個是后果非常嚴重的。第二點是在國家網(wǎng)絡安全周的宣貫下,國內安全公司的安全能力也逐漸跟上了國際一線水平,并在一些領域實現(xiàn)了彎道超車,我國的殺毒軟件,在國際上參加評級評獎都獲得了很出色的成績,另一方面,國內云安全領域的一些企業(yè),包括知道創(chuàng)宇,也跟隨著咱們國內的企業(yè)開始出海,然后開始為走出去的企業(yè)保駕護航。
第三點的話,隨著移動互聯(lián)網(wǎng)的普及,一旦出現(xiàn)安全事件,信息的傳播是非常快的,一些政企單位得到通知就會迅速進行自檢。檢查自身是否會面臨同樣的風險,然后進行查漏補缺。
不過,我們也應該看到政企單位的安全技術團隊能力有限,大部分的小型企業(yè)和中端的政府部門都沒有自己的安全團隊,即使他們擁有較強的安全意識,但是缺乏相應的抓手,知道可能存在信息泄露的問題,但是不具體了解問題出現(xiàn)的來源,此外對安全的認知還停留在碎片化的層級,沒有形成整體規(guī)劃的安全思路和思維。
這個也跟網(wǎng)絡安全市場上的宣傳有很大關系,目前安全的大概念被包裝出來很多細分的內容,造成一些單位無所適從,他們無法鑒別和選擇更適合自己的安全產(chǎn)品,不了解產(chǎn)品之間的差異,如果一個企業(yè)花費了很大的成本采購了一套安全設備, 但是卻沒有起到想象中的防護效果,這就會對信心造成極大打擊。也就是說雖然整體的安全意識有較大的提高,但是在縱深的層次上,他還沒有達到一定的高度。
安全問題一般是怎樣出現(xiàn)的?尤其對涉密的政企單位來說,又有哪些方面需要重點防范?
安全問題的來源主要是兩種,一部分是外部的,一部分是內部造成的。外部就是說,比如你的系統(tǒng)本身比較脆弱存在一些漏洞,系統(tǒng)沒有及時打補丁或者提供解決方案,就有可能會被別有用心的人利用,然后進入你的系統(tǒng)進行內網(wǎng)滲透。而內部造成的安全問題可能是別人發(fā)送釣魚郵件,然后你點一下郵件之后可能就被對方獲取了你的信息,然后對方會以此為跳板的,進一步的進入你的系統(tǒng),然后去獲取更大的信息;還有一類的就是內部管理制度沒有建立起來,對于系統(tǒng)的操作權限沒有明確的界定,導致沒有權限的人獲取了不該獲得信息;再有一類是無意識的泄露,如很多企業(yè)為了便利性需求,都使用企業(yè)微信進行辦公,無意識的就把重要文檔泄露給第三方無關人員了。
一般涉密政企單位都是隔離網(wǎng),覺得進行物理隔離和加密就比較安全了,但是在現(xiàn)在安全攻擊黑客越來越專業(yè)和攻擊來源不確定性的背景下,涉密網(wǎng)絡也越來越不安全了,而且因為隔離導致系統(tǒng)升級不夠及時,一旦出現(xiàn)安全風險,在內部的傳播速度是比較快的,比如今年爆發(fā)的勒索病毒,同時涉密網(wǎng)絡中一機兩用的現(xiàn)象也比較普遍。針對涉密信息系統(tǒng)的保護在原有加密和隔離的基礎,我們建議及時升級系統(tǒng),采購新的安全設備或服務,如在終端上部署企業(yè)終端管理系統(tǒng),對流量中的威脅進行檢測等多種防護手段來增強防護。同時需要構建安全管理制度,嚴格規(guī)范員工的日常行為,明確責任,并進行日常安全宣貫。
政企單位應該如何構建自身的網(wǎng)絡安全跟信息安全防護機制?
隨著互聯(lián)網(wǎng)+的推進,現(xiàn)在很多的業(yè)務都搬上互聯(lián)網(wǎng)了,不管從服務效率還是競爭力考慮,互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)成為了很好的服務抓手。但是網(wǎng)上承載的業(yè)務越多,所包含的敏感信息也就越多,風險性是逐漸增長的。那么不同體量的政企單位如何構建自己的安全防護機制呢?對于大型的政企單位而言,他本身的資產(chǎn)規(guī)模比較大,需要防護的內容也比較多,建設信息安全防護機制可能周期也較長。這個時候一旦出現(xiàn)信息泄漏,影響范圍是比較大的。 所以大型的政企單位應該建立態(tài)勢感知體系,目前無論是從政策角度還是從實踐的角度,態(tài)勢感知都可以對企業(yè)的業(yè)務資產(chǎn)進行持續(xù)性的監(jiān)控,無論是流量、資產(chǎn)還是終端可以全方位的監(jiān)測風險點。針對每個不同的風險點進行一個整體的規(guī)劃來保護信息安全。
針對小型體量的政企單位,它組織結構也比較簡單,同時也沒有相應的安全團隊,這種情況建議他們從市場采購SaaS服務,會比較節(jié)省資源,也不需要后期的運維。SaaS服務尤其是針對小型的事業(yè)單位來說,它本身一般都具有主機防護,數(shù)據(jù)庫防護,還有這個云端的web系統(tǒng)防護,web系統(tǒng)呢,因為主要是對外的,一般會成為別人主要的攻擊的一個點。應用了SaaS服務,你只需要簡單的幾步,比如說你通過DNS指向接入云防護平臺,后期的所有的運維和威脅報告等等數(shù)據(jù),都是由這個SaaS服務商提供的。對企業(yè)來說就是沒有消息就是最好的消息,沒有消息就意味著你沒有出現(xiàn)任何的安全風險。
作為知名的網(wǎng)絡安全企業(yè),知道創(chuàng)宇如何幫助政企單位構建安全體系的?
知道創(chuàng)宇作為行業(yè)內領先的網(wǎng)絡安全企業(yè),也有一些成功的經(jīng)驗和成熟的產(chǎn)品可以給大家借鑒。從兩個維度來說,一個是結合企業(yè)體量來看一個是從企業(yè)的具體業(yè)務需求來看。比如說企業(yè)已經(jīng)建設好了一部分內容的話,可以考慮采購一些安全的模塊,目前知道創(chuàng)宇的安全產(chǎn)品已經(jīng)全面覆蓋了云、管、端,有一系列的產(chǎn)品能夠完全滿足政企單位的安全需求。
對于大型企事業(yè)單位,知道創(chuàng)宇能夠從態(tài)勢感知能力上對他們進行支撐。知道創(chuàng)宇的態(tài)勢感知產(chǎn)品目前已經(jīng)被多地市的公關、政府和企業(yè)采用,我們的態(tài)勢感知不僅是能夠從資產(chǎn)普查這個角度,從流量的角度,終端應用的一個角度,然后呢同時還可以對接第三方的數(shù)據(jù)源,第三方數(shù)據(jù)源對接到我們的態(tài)勢感知平臺上進行綜合的分析,最終以可視化的形式進行展現(xiàn)。同時還可以對安全風險、安全事件進行通報預警,并且與我們的情報系統(tǒng)進行關聯(lián),能夠對這個攻擊進行溯源。
對于中小型政企單位來說,我們還有諸多的安全模塊可以提供給政企單位,目前也有眾多重量級單位應用。比如說像知道創(chuàng)宇的云安全防護平臺,目前知道創(chuàng)宇云安全是國內市場占有率第一的云安全平臺,然后從上線到現(xiàn)在,沒有發(fā)生過一例被黑事件,在云安全平臺背后也有知道創(chuàng)宇專業(yè)的安全團隊運維,然后24小時對平臺進行維護。基本上能堵住一切不管是之前的已知漏洞還是未知漏洞,能為政企單位提供強有力的保護,確保信息不被泄露。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!